Já em seu blog SecureList Kaspersky informa sobre uma nova versão de malware chamada Fleckpe. Por meio de aplicativos baixados do Google Play, conseguiu infectar mais de 620.000 telefones Android, principalmente na Tailândia, mas também na Polônia, Malásia e Cingapura. Este é um Trojan baseado na ativação de assinaturas sem o conhecimento e consentimento do usuário. Esse tipo de software geralmente passa despercebido até que a vítima descubra que foi cobrado por serviços que não comprou.
Trojan na Google Play Store – cuidado com esses aplicativos
Fonte: https://securelist.com/
O malware Fleckpe foi distribuído via Google Play em 11 aplicativos de edição de fotos e pacotes de papéis de parede para smartphones. Os aplicativos estão ativos desde 2022 e já foram baixados e instalados em mais de 620.000. dispositivos. Atualmente, já foram retirados da loja, mas vale a pena conferir se não os temos em nosso smartphone. No entanto, os pesquisadores da Kaspersky Lab sugerem que esse tipo de malware ainda pode estar presente em outros aplicativos – apenas ainda não foi detectado.
Como a infecção com o ransomware Fleckpe
Quando o aplicativo é iniciado, ele carrega uma biblioteca nativa altamente criptografada contendo um “conta-gotas” (iniciador) malicioso que descriptografa e inicia uma carga útil dos recursos do aplicativo.
A carga se conecta a um servidor C&C (comando e controle), enviando informações sobre o dispositivo infectado, como MCC (código do país) e MNC (código de rede móvel), que podem ser usadas para identificar o país e a operadora da vítima. O servidor C&C retorna uma página de assinatura paga. O Trojan abre uma página em um navegador da Web invisível para o usuário e tenta se inscrever em seu nome. Se exigir um código de confirmação, o malware o recupera das notificações (acesso ao qual foi concedido ao aplicativo quando foi iniciado).
Depois de receber o código, o cavalo de Tróia o utiliza para concluir o processo de inscrição. Enquanto isso, a vítima usa as funções declaradas do aplicativo, por exemplo, instalar papéis de parede ou editar fotos, sem saber que assinou um serviço pago.
Trojans de assinatura estão se tornando cada vez mais populares
Os pesquisadores da Kaspersky Lab apontam que os ‘Trojans de assinatura’ recentemente ganharam popularidade entre os fraudadores. Eles aparecem em aplicativos em lojas oficiais, como o Google Play, e sua crescente complexidade e camuflagem de códigos maliciosos permitem contornar efetivamente muitas medidas de segurança introduzidas pelas lojas. Eles permanecem por muito tempo sem serem detectados, e os usuários, mesmo quando percebem a situação, não conseguirão descobrir qual aplicativo fez a assinatura indesejada.
Por esse motivo, esse tipo de malware está se tornando cada vez mais popular, sendo uma fonte confiável de renda ilícita para cibercriminosos. Portanto, ao instalar qualquer aplicativo, mesmo de fontes oficiais, vale a pena verificar cuidadosamente as permissões concedidas.